18
REPUBLIKA SLOVENIJA UPRAVNA ENOTA LJUTOMER Vrazova ulica 1, 9240 Ljutomer T: 02 584 94 20 F: 02 583 12 45 E: [email protected] www.upravneenote.gov.si/ljutomer/ 1/18 Na podlagi 80. člena Uredbe o upravnem poslovanju (Uradni list RS, št. 20/05, 106/05, 30/06, 86/06, 32/07, 63/07, 115/07 in 31/08) in Priporočil informacijske varnostne politike javne uprave (št. 386-2/2008/23 z dne 28.10.2010) izdajam; INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE ENOTE LJUTOMER Namen in cilji 1. člen Informacijska varnostna politika UE Ljutomer (IVPUE) izraža politiko, s katero želi upravna enota zaščititi informacijsko premoženje, ki ga upravlja ali uporablja. Je dokument, ki ga morajo upoštevati: vodstvo, zaposleni, osebe pogodbenih izvajalcev in vsi, ki imajo dostop do tega premoženja. 2. člen Namen IVPUE je postaviti osnovna varnostna izhodišča za zaščito informacijskih sredstev pred nevarnostmi, bodisi notranjimi ali zunanjimi, namernimi ali naključnimi. Izvajanje te politike je pomembno za zagotavljanje informacijske varnosti. Informacijsko varnost označujemo kot varovanje: zaupnosti: varovanje podatkov in informacij pred razkritjem nepooblaščenim ter zagotavljanje odgovornosti za njihova dejanja; celovitosti: varovanje podatkov in informacij pred neavtoriziranimi spremembami, zagotavljanje verodostojnosti – točnosti, popolnosti in nespremenljivosti informacij ter postopkov procesiranja; razpoložljivosti: varovanje podatkov, informacij in servisov pred prekinitvami v delovanju ter zagotavljanje informacij pooblaščenim uporabnikom v času, ko jih potrebujejo, in na zahtevani način. 3. člen Z IVPUE se zagotavlja doseganje naslednjih temeljnih ciljev: zavarovanje podatkov/informacij pred nepooblaščenim dostopom, obdelavo in razkritjem, ohranitev celovitosti informacij in preprečevanje nepooblaščenih sprememb, razpoložljivost informacij in virov, ko jih pooblaščeni potrebujejo, priprava, vzdrževanje in preverjanje načrtov neprekinjenega poslovanja v obsegu, ki je praktično izvedljiv, izobraževanje o informacijski varnosti, beleženje in raziskovanje kršitev IVPUE in sum teh kršitev, preverjanje skladnosti z zakonodajo, upoštevanje priporočil glede standardov informacijske varnosti.

INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

Embed Size (px)

Citation preview

Page 1: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

REPUBLIKA SLOVENIJA

UPRAVNA ENOTA LJUTOMER

Vrazova ulica 1, 9240 Ljutomer T: 02 584 94 20

F: 02 583 12 45

E: [email protected]

www.upravneenote.gov.si/ljutomer/

1/18

Na podlagi 80. člena Uredbe o upravnem poslovanju (Uradni list RS, št. 20/05, 106/05, 30/06, 86/06, 32/07, 63/07, 115/07 in 31/08) in Priporočil informacijske varnostne politike javne uprave (št. 386-2/2008/23 z dne 28.10.2010) izdajam;

INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE ENOTE LJUTOMER

Namen in cilji

1. člen

Informacijska varnostna politika UE Ljutomer (IVPUE) izraža politiko, s katero želi upravna enota zaščititi informacijsko premoženje, ki ga upravlja ali uporablja. Je dokument, ki ga morajo upoštevati: vodstvo, zaposleni, osebe pogodbenih izvajalcev in vsi, ki imajo dostop do tega premoženja.

2. člen

Namen IVPUE je postaviti osnovna varnostna izhodišča za zaščito informacijskih sredstev pred nevarnostmi, bodisi notranjimi ali zunanjimi, namernimi ali naključnimi. Izvajanje te politike je pomembno za zagotavljanje informacijske varnosti. Informacijsko varnost označujemo kot varovanje:

zaupnosti: varovanje podatkov in informacij pred razkritjem nepooblaščenim ter zagotavljanje odgovornosti za njihova dejanja;

celovitosti: varovanje podatkov in informacij pred neavtoriziranimi spremembami, zagotavljanje verodostojnosti – točnosti, popolnosti in nespremenljivosti informacij ter postopkov procesiranja;

razpoložljivosti: varovanje podatkov, informacij in servisov pred prekinitvami v delovanju ter zagotavljanje informacij pooblaščenim uporabnikom v času, ko jih potrebujejo, in na zahtevani način.

3. člen

Z IVPUE se zagotavlja doseganje naslednjih temeljnih ciljev:

zavarovanje podatkov/informacij pred nepooblaščenim dostopom, obdelavo in razkritjem, ohranitev celovitosti informacij in preprečevanje nepooblaščenih sprememb, razpoložljivost informacij in virov, ko jih pooblaščeni potrebujejo, priprava, vzdrževanje in preverjanje načrtov neprekinjenega poslovanja v obsegu, ki je

praktično izvedljiv, izobraževanje o informacijski varnosti, beleženje in raziskovanje kršitev IVPUE in sum teh kršitev, preverjanje skladnosti z zakonodajo, upoštevanje priporočil glede standardov informacijske varnosti.

Page 2: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

2/18

Uporabljeni izrazi

4. člen

IZRAZ OBRAZLOŽITEV

digitalno potrdilo potrdilo, ki vsebuje podatke o identiteti imetnika, izdajatelja in imetnikov javni ključ, s katerim se overi elektronski podpis;

dnevnik obiskovalcev evidenca v elektronski ali pisni obliki s podatki o obiskovalcu, namenu in času obiska;

dogodek stanje ali sprememba, ki lahko vpliva na informacijsko varnost;

dokumentacija vsi pisni ali elektronski podatki o opremi ali postopkih;

elektronska pošta storitev za izmenjavo elektronskih sporočil;

elektronski poštni predal zbirka podatkov, v kateri se shranjujejo elektronska sporočila uporabnika ali namenske skupine uporabnikov, prejeta ali poslana po sistemu elektronske pošte;

elektronsko sporočilo niz podatkov, ki so poslani ali prejeti po elektronski poti;

incident dogodek, katerega posledica je razkritje, uničenje, nerazpoložljivost podatkov ali informacijskega sistema in kršitev varnostne politike

informacijski sistem (IS) celoten skupek opreme (komunikacijske in informacijske) in postopkov za obravnavanje podatkov organa javne uprave;

informacijski varnostni dogodek

vsak dogodek, ki lahko vpliva na varnost podatkov v informacijskem sistemu ali na delovanje informacijskega sistema;

infrastruktura energetski in komunikacijski vodi, generatorji, klimatske naprave, sistemi neprekinjenega napajanja (sistemi UPS), sistemi za gašenje, prostori …;

izmenljivi nosilci podatkov nosilci podatkov, ki jih je mogoče z enostavnim posegom odstraniti in ločiti od IS. Sem sodijo diskete, trakovi, CD- in DVD-mediji, USB-pomnilniki in diski;

kriptografija proučevanje in uporaba šifriranja in dešifriranja podatkov, sporočil;

kriptografske kontrole preverjanje, določanje in upravljanje kriptografskih ključev;

kriptografski ključi niz znakov, ki so vhodni podatek za izvedbo šifrirnega algoritma;

kritična infrastruktura oprema, ki je nujno potrebna za delovanje minimalnih funkcij državnih organov;

lokalno omrežje (LAN) računalniško omrežje z aktivnimi in pasivnimi elementi, ki omogoča povezljivost ter pretok podatkov med terminalsko opremo in viri v organizaciji ali organizacijski enoti;

mrežni naslov (IP naslov) za logično naslavljanje je zadolžen Internet Protocol (IP). Naslov IP določa sistemski položaj računalnika v omrežju, podobno, kot naslovi na ulici določijo položaj hiše v mestu.

Page 3: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

3/18

IZRAZ OBRAZLOŽITEV

nepooblaščeni dostop nedovoljen dostop do prostorov, podatkov in informacij, dostop brez ustreznega pooblastila;

nezavarovano območje bakreni ali optični vodi, ki potekajo prek javnih prostorov med stavbami, pri čemer organ javne uprave nad to traso nima nadzora;

nosilec podatkov priprava ali sredstvo, ki omogoča branje in/ali zapisovanje podatkov (disketa, CD-ROM, DVD, disk, USB-pomnilnik, kartica, trak, kaseta, papir …);

občutljivi podatki osebni podatki (tudi občutljivi osebni podatki) po Zakonu o osebni podatkih in tajni podatki po Zakonu o tajnih podatkih ter tisti, ki jih organ javne uprave določi kot take;

obravnavanje podatkov zbiranje, obdelava, prikaz, hranjenje, spreminjanje in brisanje podatkov;

ocena tveganja ugotovitev vseh morebitnih tveganj in nevarnosti, ki lahko ogrozijo varnost in poslovanje organa javne uprave;

omrežje javne uprave - HKOM

je hitro komunikacijsko omrežje javne uprave, namenjeno telekomunikacijskemu povezovanju državne in javne uprave RS

organ organi in institucije javne uprave ter njihove organizacijske enote (glej Uredbo o upravnem poslovanju);

overitelj izdajatelj kvalificiranih digitalnih potrdil, del infrastrukture javnih ključev, ki izdaja digitalna potrdila;

relevantna zakonodaja vsi pravni akti, ki predpisujejo pravila za neko področje (npr. tajni podatki, osebni podatki …);

penetracijski test s strani lastnika informacijskega sistema naročen test vdora, v katerem se ugotavljajo pomanjkljivosti pri zagotavljanju informacijske varnosti;

pooblaščena oseba posameznik ali skupina ljudi, imenovana na podlagi zakona ali s strani predstojnika organa za izvajanje določenih nalog;

prostrano omrežje omrežje WAN. Če govorimo o državnem omrežju, je to HKOM;

protivirusni program posebna programska oprema, ki je namenjena odkrivanju in odstranjevanju virusov in drugih zlonamernih programov;

skrbnik pooblaščena oseba, odgovorna za upravljanje posameznega podsistema (načrtov, procesov, opreme, infrastrukture, informacijske varnosti, informacijskega sistema …);

sredstva za dostop do IS uporabniško ime in geslo, pametne kartice, certifikati, enkratna gesla in drugi načini za avtentikacijo in avtorizacijo uporabnikov IS;

svetovni splet internet, medmrežje;

šifriranje preoblikovanje razumljivega besedila v nerazumljivo obliko s kriptografskimi metodami;

Page 4: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

4/18

IZRAZ OBRAZLOŽITEV

uporabnik oseba, ki uporablja informacijski sistem ali napravo pri rednem delu in ima sklenjeno delovno razmerje ali je pogodbeni zunanji izvajalec;

uporabniško ime in geslo niz znakov, s katerim se uporabnik prijavi v informacijski sistem;

upravljanje zajem funkcij, kakršne so načrtovanje, montaža, zagotavljanje, obratovanje, administriranje in vzdrževanje sistema;

upravljavec (upravitelj) sistema

organ javne uprave, ki upravlja posamezni informacijski sistem ali njegov del;

varnostne kopije so prepisi točno določenih podatkov, da se zavarujejo pred izgubo, in so navadno prepisani na optično ali magnetno sredstvo;

varovani podatek osebni ali drug obravnavani podatek, ki ni tajen, njegovo razkritje nepoklicanim osebam pa bi lahko povzročilo škodo organu, poteku uradnih postopkov ali osebam, na katere se nanaša, zato mora njegovo obravnavanje spremljati izvajanje varnostnih ukrepov in postopkov;

varovano območje območje, ki je pod nadzorom organa javne uprave, kamor spadata upravno in varnostno območje, kakor je določeno v ZTP;

zunanji izvajalec vsaka fizična ali pravna oseba, ki dobavi opremo ali izvaja storitve po pogodbi pri organih javne uprave.

Kršitev politike

5. člen

V informacijskem sistemu mora biti zagotovljeno zaznavanje kršitev IVPUE in njihovo sankcioniranje po relevantni zakonodaji ali pogodbi.

6. člen

Ob morebitni kršitvi IVPUE se lahko sprožijo ukrepi, kakršne predvideva relevantna zakonodaja. Glede na interes organa javne uprave se lahko uporabijo tudi drugi, nedisciplinski ukrepi. Tako imajo upravitelji pravico do takojšnje blokade in morebitne naknadne ukinitve storitve, če ugotovijo kršitev določil politike. Veljavnost IVPUE in zaveza vodstva

7. člen

Priporočila IVPUE je Upravna enota Ljutomer sprejela na podlagi 80. člena Uredbe o upravnem poslovanju (Uradni list RS, št. 20/05, 106/05, 30/06, 86/06, 32/07, 63/07, 115/07 in 31/08) in IVPJU Ministrstva za pravosodje in javno upravo, UE Ljutomer pa jo je dolžna upoštevati kot krovno informacijsko varnostno politiko.

Page 5: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

5/18

8. člen

Vodstvo UE Ljutomer skupaj sistemskim administratorjem vsaj enkrat letno pregleduje izvajanje in vsebino IVPUE ter predlaga spremembe. Izdelati mora tudi zapisnik o vodstvenem pregledu. Skrbnik

9. člen

Skrbnik politike je vodstvo UE Ljutomer. Ocena tveganja

10. člen

Metodologijo za izdelavo ocene tveganja potrdi minister, pristojen za javno upravo. Organiziranost IVPUE

11. člen

IVP je organizirana na več ravneh. Prvo raven predstavlja krovna IVPJU, katero so organi javne uprave dolžni upoštevati kot izhodišče. Drugo raven predstavlja IVPUE Ljutomer, ki zajema vsa področja znotraj upravne enote. Tretja raven so dokumenti oz. navodila za izvajanje nalog in skrbništva informacijskega sistema. Pripravlja jih sistemski administrator UE Ljutomer. Ker je informacijski sistem UE Ljutomer sestavni del širšega sistema javne uprave in je enak oz. podoben kot v drugih organih javne uprave, se navodila pripravijo skupaj z medresorsko delovno skupino ministrstva za pravosodje in javno upravo. Četrta raven so obrazci, namenjeni izvajanju nalog. Po zapisih na teh obrazcih se preverja skladnost delovanja informacijskega sistema z IVPUE. Dokumenti tretje in četrte ravni morajo biti dostopni tam, kjer jih uporabniki potrebujejo.

12. člen

Informacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti.

13. člen

Vsakdo mora upoštevati tiste politike na vseh ravneh, ki so vezane na njegove delovne naloge ali pogodbene obveznosti. Ko se zaposleni in pogodbeni izvajalci seznanijo z IVPUE, podpišejo izjavo o seznanitvi z IVPUE. Pri pogodbenih izvajalcih velja tudi podpis o seznanitvi z IVPJU.

Page 6: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

6/18

Področne politike

14. člen

Posamezna področja in v njihovem okviru postopki izvajanja IVPUE so določeni s posebnimi varnostnimi politikami: 1. Politika fizičnega varovanja 1.1 Fizični dostop

15. člen

Za varovanje svojih prostorov skrbi UE Ljutomer sama oz. preko pooblaščenega podjetja Sintal, ki skrbi za alarmne narave in intervence v primeru nepooblaščenih vstopov v prostore UE. Podrobneje je sistem varovanja opisan v Načrtu varovanja UE.

16. člen

UE Ljutomer nima varnostne službe, prav tako nima receptorja, dostop do varovanih prostorov pa je omogočen avtoriziranim osebam, ki posedujejo tudi ključ od prostorov. Vstopi in izstopi v varovana območja se evidentirajo v evidenci.

17. člen

Vstop in gibanje obiskovalcev v UE Ljutomer je opredeljen s hišnim redom UE Ljutomer.

18. člen

Prostori, v katerih se obravnavajo podatki, morajo biti varovani z organizacijskimi, fizičnimi in tehničnimi ukrepi, ki nepooblaščenim osebam onemogočajo dostop do podatkov in sredstev informacijske in komunikacijske tehnologije, s katero se podatki obdelujejo.

19. člen

Dostop uporabnikom na varovano območje je mogoč le v rednem delovnem času, zunaj tega časa pa samo na podlagi dovoljenja nadrejenega (pooblaščenega) zaposlenega. Vsakršno odstopanje mora biti navedeno v drugih internih predpisih (npr. hišnem redu, načrtu varovanja). 1.2 Varovanje sredstev za dostop

20. člen

Vsak zaposleni mora fizična sredstva (ključi, izkaznice, priponke, kartice itd.) in elektronska sredstva (uporabniška imena, gesla, šifrirni ključi itd.) za dostop do območij in opreme varno in skrbno hraniti, jih imeti vedno pod nadzorom in jih ne sme posojati. Podatki za dostop se štejejo za občutljive podatke.

21. člen

Morebitno krajo, izgubo ali založitev sredstva za dostop mora vsak takoj prijaviti izdajatelju tega sredstva oz. sistemskemu administratorju.

Page 7: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

7/18

Varovanje opreme 1.3 Namestitev opreme

22. člen

Vsa oprema mora biti nameščena in zaščitena tako, da so nevarnosti iz okolja in priložnosti za nepooblaščeni dostop kar najbolj odpravljene. Raven varovanja in zaščite naj bo določena glede na občutljivost podatkov in ocenjeno tveganje izgube ali poškodovanja podatkov. 1.4 Protipožarno varovanje

23. člen

Protipožarno varovanje na varovanih območjih, na katerih je nameščena ključna in pomožna oprema, mora biti izvedeno skladno s predpisi, ki urejajo to področje in navodili ustreznih pooblaščenih služb. 1.5 Zaščita ožičenja

24. člen

Ožičenje morajo vedno načrtovati in nameščati ustrezno usposobljeni izvajalci ter mora biti izvedeno skladno z veljavnimi standardi in predpisi ter priporočili naročnika. Varnost ožičenja je treba načrtovati že pri vzpostavljanju računalniških prostorov in pri namestitvi opreme. Pri vsaki nadgradnji ali spremembi omrežja ali vanj vključenih naprav mora biti preverjena varnost ožičenja.

25. člen

Električni in telekomunikacijski kabli (ožičenje), po katerih se prenašajo podatki oziroma, ki podpirajo informacijske storitve, morajo biti zaščiteni pred prestrezanjem ali poškodbami.

26. člen

Vsi priključki morajo biti dokumentirani. Posebej morajo biti dokumentirani porabljeni oziroma aktivni priključki, bodisi na aktivni opremi bodisi na priključnih panojih. Prosti priključki v sobah in hodnikih ne smejo omogočati nepooblaščenega dostopa, zato morajo biti »neaktivni« ali blokirani.

27. člen

Popravila na ožičenju lahko izvajajo samo skrbniki omrežja ali pod njihovim nadzorom strokovno usposobljeni izvajalci. 1.6 Okvare in poškodbe opreme

28. člen

Uporabniki morajo vsako okvaro in namerno ali nenamerno poškodbo opreme sporočiti sistemskemu administratorju, ki mora ukrepati v skladu s predpisanimi postopki.

Page 8: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

8/18

2. Politika primerne rabe informacijskih sistemov in zaščite občutljivih podatkov

2.1 Uporaba opreme informacijske tehnologije

29. člen

Informacijska oprema v lasti UE Ljutomer, drugega organa javne uprave ali pogodbenega podjetja je namenjena opravljanju oziroma potrebam dela v javni upravi. Uporaba v zasebne namene ni dovoljena razen za nujne zadeve in v manjšem obsegu, ki ne moti delovnega procesa in varnosti (zaupnost, celovitost in razpoložljivost) informacijskega sistema, če jo pisno odobri načelnica upravne enote.

30. člen

Uporabniki morajo z informacijsko opremo ravnati kakor dober gospodar, po priporočilih proizvajalca in skrbnika sistema. Posege vanjo lahko opravljajo samo za to pooblaščene osebe. Za odtujitev in poškodbe opreme je odgovoren uporabnik. Posebno skrbno mora ravnati s prenosno opremo.

31. člen

Uporabniki ne smejo sami nameščati programske opreme razen z dovoljenjem odgovorne osebe. Nameščanje in vzdrževanje te opreme je v domeni skrbnika informacijskega sistema (sistemski administrator). Upravljavci informacijskih sistemov morajo poskrbeti, da so informacijski sistemi ustrezno zaščiteni pred neavtorizirano ali zlonamerno programsko opremo. Nameščeni morajo biti vsaj protivirusni programi in požarni zid. Zagotovljeno mora biti redno posodabljanje teh programov. 2.2 Zlonamerna programska oprema

32. člen

Nameščanje ali uporaba zlonamerne programske opreme ali njeno širjenje je kršitev varnostne politike. Namerno nameščanje, uporaba in širjenje take opreme se preganja v skladu z relevantno zakonodajo. Uporabniki: morajo, če sumijo, da na informacijskem sistemu deluje zlonamerna programska oprema,

takoj nehati delati z njim, obvestiti sistemskega administratorja in upoštevati njegova navodila;

morajo, če sumijo, da je na informacijskem sistemu zlonamerna programska oprema, takoj obvestiti sistemskega administratorja in upoštevati njegova navodila;

ne smejo zaganjati izvršljive programske opreme, ki ni del njihovega informacijskega sistema (izvira npr. s svetovnega spleta, elektronske pošte, pomnilniških medijev);

ne smejo zaganjati dokumentov (npr. s svetovnega spleta, elektronske pošte, pomnilniških medijev), če so sumljivi, če ne vedo, čemu so takšni dokumenti ali programi namenjeni, ali če ne poznajo njihovega izvora;

morajo, če sumijo ali ugotovijo, da sistem za protivirusno zaščito ne deluje ali ni ustrezno posodobljen, takoj nehati uporabljati informacijski sistem, obvestiti sistemskega administratorja in upoštevati njegova navodila;

Page 9: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

9/18

2.3 Informacijski sistemi

33. člen

Informacijski sistemi, ki obravnavajo podatke (predvsem občutljive), morajo biti nadzorovani. V nadzorovanih sistemih morajo biti vključeni ustrezni dnevniki, ki zagotavljajo spremljanje dogodkov in omogočajo identifikacijo uporabnika. Podatke iz dnevnika je mogoče pridobiti le na pisno zahtevo predstojnika organa ali zahtevo pristojnega preiskovalnega organa v zvezi s sumom storitve kaznivega dejanja. V primeru, da se podatki iz dnevnika uporabljajo tudi za odkrivanje napak v informacijskem sistemu ali za izboljšanje njegovega delovanja, soglasje ni potrebno.

34. člen

Uporaba zasebne opreme v informacijskem sistemu UE Ljutomer in javne uprave ni dovoljena. 2.4 Upravljanje izmenljivih nosilcev podatkov

35. člen

Zagotovljena morata biti ustrezno varovanje in zaščita pri upravljanju izmenljivih nosilcev podatkov.

36. člen

Izgubo ali krajo izmenljivih nosilcev podatkov je treba prijaviti sistemskemu administratorju.

37. člen

Nosilci podatkov neznanega ali sumljivega izvora se ne smejo uporabljati. Preden se uporabi vsebina izmenljivega nosilca podatkov, se mora vselej preveriti njegova morebitna okuženost z zlonamerno programsko opremo.

38. člen

Uporabnik mora vse nosilce podatkov, ki jih ne potrebuje več oziroma so neuporabni, izročiti sistemskemu administratorju. 2.5 Dostop do informacijskih sistemov

39. člen

Za dostop do informacijskega sistema UE Ljutomer in ostalih informacijskih sistemov javne uprave, mora biti vzpostavljen postopek dodelitve, sprememb in prenehanja dostopnih pravic.

40. člen

Dostop do posameznih informacijskih sistemov in njegovih delov smejo imeti samo osebe, ki so do tega upravičene, za to pooblaščene in ustrezno usposobljene.

41. člen

Na podlagi potreb poslovnega procesa se odobri dostop do informacijskega sistema v obsegu, ki je potreben za opravljanje delovnih nalog. Dostop, obseg dostopa in pravice (angl. role) se izvedejo na podlagi zahtevka, ki ga vodja poda sistemskemu administratorju, le-ta pa poskrbi za njegovo realizacijo.

Page 10: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

10/18

42. člen

Dostope in pravice uporabnikov v informacijskih sistemih opravljajo pooblaščene osebe v UE Ljutomer in upravljavci informacijskih sistemov (lahko tudi pogodbeni izvajalci). UE Ljutomer lahko ureja dostope in pravice do naslednjih informacijskih sistemov:

računalniško omrežje UE Ljutomer; dostop in pravice ureja sistemski administrator produkcijsko okolje MR&RSP; dostop in pravice urejajo skrbniki varnostne sheme RPAS sistem registracije delovnega časa Jantar; dostop in pravice urejajo skrbniki

Dostope in pravice do drugih informacijskih sistemov urejajo upravljavci teh sistemov na podlagi zahtevka s strani UE Ljutomer. V to skupino spadajo naslednji sistemi: Lotus Notes, oddaljeni dostop do HKOM, GERK, BAKHOS, MPZT, vpogledi GURS, e-poizvedbe ZZZS, eIzvršbe, MFERAC, eVEM, CA vloge, Form.NET….

43. člen

Dostop do informacijskih sistemov mora biti mogoč le na podlagi ustrezne avtentikacije, minimalno z uporabo uporabniškega imena in gesla. Za prijavo v sistem se lahko poseže še po drugih odobrenih avtentikacijskih metodah.

44. člen

Sredstva za dostop do informacijskega sistema so neprenosljiva. Posojanje ni dovoljeno.

45. člen

Uporabnik mora skrbno varovati sredstva za dostop do informacijskih sistemov, da se ne odtujijo ali zlorabijo. Vsak sum zlorabe ali odtujitve je treba takoj prijaviti sistemskemu administratorju.

46. člen

Pravico dostopa do informacijskega sistema ali omrežja lahko pridobijo uporabniki ali administratorji na podlagi potrebe in odobritve lastnika aplikacije ali storitve. Če potreba po dostopu preneha, je treba to pravico odvzeti. Spremembe dostopnih pravic se morajo voditi v personalni mapi uporabnika. Postopek upravljanja pravic dostopa do informacijskega sistema mora biti dokumentiran, dodeljene pravice pa redno pregledovane.

47. člen

Uporabniške in administratorske pravice dostopa do informacijskih sistemov so ločene. 2.6 Načelo čiste mize

48. člen

Uporabniki ne smejo puščati nosilcev podatkov (npr. v papirni obliki, elektronskih medijev) z občutljivimi podatki na odprtih površinah pisarniške opreme ali drugih mestih, kjer bi lahko bili dostopni nepooblaščenim osebam. Ko uporabnikov ni v prostoru, morajo biti nosilci podatkov varno shranjeni. Zunaj delovnega časa mora biti vsa pisarniška oprema, kjer se hranijo nosilci podatkov, ki niso javni, zaklenjena ali drugače varovana, komunikacijsko-informacijska oprema pa fizično ali programsko varovana.

Page 11: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

11/18

2.7 Načelo praznega zaslona

49. člen

Ob uporabnikovi prisotnosti ali odsotnosti na delovnem mestu mora biti onemogočen vpogled na zaslon oziroma onemogočena uporaba informacijsko-komunikacijske opreme nepooblaščenim osebam: delovna mesta morajo biti organizirana tako, da se prepreči priložnostno "gledanje čez

rame"; uporabljati se mora oprema, ki po določenem času uporabnikove neaktivnosti na delovni

postaji izključi zaslon ali ga preklopi na ohranjevalnik zaslona, zavarovan z geslom; ob koncu delovnega procesa se je treba odjaviti iz sistema in izklopiti delovno postajo,

razen javnih računalnikov (INFO in GERK točka, računalniki za dostop do zemljiške knjige, uradnih listov ipd.).

2.8 Oddaljeni dostop

50. člen

Oddaljeni dostop do informacijskega sistema je dovoljen le na podlagi odobrene metode z ustrezno ravnjo varnosti, in sicer za tiste uporabnike, ki dostop potrebujejo zaradi opravljanja delovnih nalog, vendar le v omejenem obsegu. Pri delu je potrebno upoštevati tudi načelo praznega zaslona. Po končanem delu se je treba obvezno odjaviti iz sistema in zagotoviti, da občutljivi podatki in sledi ne ostanejo na delovni postaji.

51. člen

Za uveljavitev oddaljenega varnega dostopa je na strojni opremi zagotovljena prepoznava ustrezne programske opreme, ki omogoča zaščito končne točke pred internetnimi grožnjami. Za zagotavljanje zaupnosti se ves promet iz končne točke oddaljenega omrežja do omrežja javne uprave šifrira. 2.9 Dostop do svetovnega spleta in storitev v svetovnem spletu

52. člen

Dostop do svetovnega spleta je zaposlenim omogočen za njihovo delo, izobraževanje in informiranje.

53. člen

Zaposleni v morajo uporabljati svetovni splet v skladu z etičnimi in moralnimi normami v javni upravi. Vsi uporabniki njenih informacijskih sistemov se morajo zavedati, da se v medmrežju izkazujejo z mrežnim naslovom organa javne uprave (IP naslov).

54. člen

Na podlagi ocene tveganja je mogoče omejevati dostop do vsebin zaradi zagotavljanja informacijske varnosti in razpoložljivosti informacijskih virov ter zaradi preprečevanja kršitev etičnih in moralnih norm.

Page 12: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

12/18

55. člen

Pošiljanje službenih elektronskih naslovov na zunanje spletne strežnike ni dovoljeno, razen če je povezano s poslovnim procesom organa javne uprave.

56. člen

V omrežju javne uprave (HKOM) se lahko za namen preiskave suma nezakonitih dejanj beležijo dostopi uporabnikov do spletnih strani in s tem povezani podatki o dodeljenih internih IP številkah, času dodelitve interne IP številke ter podatki o povezavi med interno in javno IP številko. Te podatke lahko upravljavci posredujejo le na obrazloženo zahtevo organa, ki na podlagi zakonskih pooblastil obravnava domnevno nezakonita dejanja. Drugačna obdelava podatkov ni dovoljena. 2.10 Uporaba elektronske pošte

57. člen

Zaposleni v UE Ljutomer, kot orodje za komunikacijo z državljani, strankami, zaposlenimi in zunanjimi izvajalci, uporabljajo tudi elektronsko pošto. Pri tem se morajo držati ne le etičnih in moralnih norm, temveč tudi bontona. Pošiljatelj se mora zavedati, da se vsako sporočilo s službenega elektronskega naslova pri prejemniku lahko razloži kot mnenje organa, v katerem je pošiljatelj zaposlen.

58. člen

Sistem elektronske pošte se praviloma uporablja samo v službene namene. Uporaba v druge namene je dopustna le izjemoma, če ne moti delovnega procesa in varnosti (zaupnost, celovitost in razpoložljivost) informacijskega sistema.

59. člen

Uporabniki po elektronski pošti ne smejo pošiljati verižnih pisem in obsežnih datotek (glasba, filmi, prezentacije, zagonske datoteke in skripte…), razen če so namenjene delu. Seznam nedovoljenih priponk je objavljen na http://hkom.sigov.si/elektronska-posta/obvestila-in-navodila/splosna-obvestila/ in dodatno lahko tudi na posebnih seznamih organov javne uprave. Pošiljanje verižnih obvestil o morebitnih novih virusih ni dovoljeno niti takrat, ko so prepričani, da ne gre za lažna obvestila. Sumljivo pošto je potrebno poslati sistemskemu administratorju.

60. člen

Uporabniki svojega službenega elektronskega naslova ne smejo uporabljati v namene trženja in z njega ne smejo pošiljati oglasne pošte na znane in/ali neznane naslove. Če imajo potrebo po pošiljanju elektronske pošte večjemu številu naslovnikov, se morajo pred pošiljanjem posvetovati s skrbnikom poštnega sistema, razen ko pošto pošiljajo ciljni skupini iz SVN imenika. Vsa elektronska sporočila, ki so bila poslana velikemu številu naslovnikov iz imenika in s pošiljanjem katerih upravitelj imenika ni bil predhodno seznanjen, se štejejo za neželeno pošto, in bodo zavrnjena. Prav tako se zaposleni ne smejo prijavljati na oglasno pošto ali novice s službenimi elektronskimi naslovi, razen če to ni povezano s potrebami delovnega mesta.

61. člen

Uporabniki morajo biti previdni pri odpiranju pošte s priponkami neznanih pošiljateljev. Če sumijo, da gre za nezaželeno pošto, ki bi bila lahko škodljiva, naj je ne odpirajo, temveč naj o

Page 13: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

13/18

tem obvestijo sistemskega administratorja, ki bo po potrebi obvestil skrbnika poštnega sistema na naslov [email protected], EKT po telefonu na tel. št. 01/478-8778 ali pa službo za pomoč uporabnikom pri organu javne uprave.

62. člen

Uporabniki nikakor ne smejo pošiljati občutljivih podatkov ali gesel po elektronski pošti razen v ustrezno akreditiranih sistemih.

63. člen

S službenimi elektronskimi sporočili je treba ravnati v skladu z veljavnimi pravili poslovanja z dokumentarnim gradivom. Za prijavo na dogodke in za sporočila, povezana z opravljanjem delovnih nalog, ni dovoljeno uporabljati zasebnih elektronskih naslovov. Službene elektronske pošte tudi ni dovoljeno preusmerjati na druge zasebne naslove, razen če gre za reševanje nujnih nalog, odobrenih s strani načelnice. 2.11 Pravice nad podatki elektronske pošte

64. člen

Vse pravice na sistemu elektronske pošte in vseh elektronskih sporočilih, ki niso zasebna, pripadajo organu javne uprave. Uporabniki se morajo zavedati, da se elektronska sporočila v sistemu elektronske pošte varnostno shranjujejo in bodo ostala shranjena tudi, če jih izbrišejo iz svojega elektronskega poštnega predala.

65. člen

Uporabnik ne sme uporabljati elektronskega poštnega naslova, ki je bil dodeljen drugemu uporabniku.

66. člen

V primeru ukinitve elektronskega poštnega naslova se pošiljateljem elektronskih sporočil na ukinjeni elektronski poštni naslov, pošlje sporočilo o nedostopnosti elektronskega poštnega naslova in po možnosti obvestilo o nadomestnem naslovu. Sprejemanje elektronskih sporočil na ukinjeni elektronski poštni naslov se onemogoči. Vsebina poštnega predala do ukinitve elektronskega poštnega naslova se arhivira skladno z relevantno zakonodajo. Preusmeritev elektronske pošte v drug predal uporabnika ni dovoljena.

67. člen

Elektronska sporočila, ki jih sprejme uporabnik na svoj elektronski poštni naslov, sme odpirati samo ta uporabnik, ali s strani uporabnika pooblaščena oseba, drug uporabnik pa samo na podlagi odredbe pristojnega državnega organa ali v izjemnih primerih posebnega pisnega pooblastila načelnice UE Ljutomer. Pri tem se morajo upoštevati določila relevantne zakonodaje in vsa pravila, ki v takšnih primerih veljajo za ravnanje z gesli.

68. člen

Elektronska sporočila, ki prihajajo na enotne namenske elektronske poštne naslove (npr. glavna pisarna, projekt, sektor, podpora), odpirajo za to pooblaščene osebe.

Page 14: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

14/18

2.12 Privzete nastavitve predala

69. člen

Uporabnik ne sme spreminjati nastavitev svojega elektronskega poštnega predala. Za uporabo dodatnih pripomočkov mora pridobiti posebno dovoljenje oziroma odobritev upravitelja. 2.13 Velikost in zaupnost elektronskih sporočil

70. člen

Največja velikost sporočil pri pošiljanju ali sprejemanju elektronske pošte skupaj s priponko med posameznimi sistemi elektronske pošte je praviloma omejena. Omejitev določa upravljavec elektronske pošte in je objavljena na njegovih spletnih straneh (HKOM). Če je omejitev presežena (cca. 13 MB), se sporočilo samodejno zavrne, pošiljatelj pa dobi obvestilo o zavrnitvi.

71. člen

Če uporabnik prejme elektronsko sporočilo, ki ni namenjeno njemu, vsebine tega sporočila ne sme shraniti ali kakor koli uporabiti. O tej pomoti mora obvestiti pošiljatelja, sporočilo pa mora nemudoma izbrisati ali kako drugače uničiti. Pred uničenjem ga lahko pošlje pravemu naslovniku, če je iz sporočila nedvoumno razvidna njegova identiteta.

72. člen

Čeprav upravitelj zagotavlja zaupnost, se mora vsak zaposleni zavedati, da lahko elektronsko pošto prestrežejo in obdelujejo nepooblaščene osebe, odvisno od tehnologije.

73. člen

Uporabnik mora spoštovati avtorske pravice in pravila intelektualne lastnine, še zlasti tako, da ne uporablja sistema elektronske pošte za pošiljanje avtorsko zaščitenih informacij ali računalniških programov.

74. člen

Pri ravnanju z občutljivimi podatki je treba dosledno upoštevati zakonodajo. 2.14 Šifriranje in podpisovanje elektronskih sporočil

75. člen

Šifriranje in podpisovanje elektronskih sporočil se lahko izvaja samo z uporabo odobrenih metod v UE Ljutomer in organih javne uprave, kar ureja upravljavec. 2.15 Brisanje elektronskih sporočil

76. člen

Vsak uporabnik mora vsa elektronska sporočila, ki jih ne potrebuje več, občasno brisati iz svojega predala oziroma mora to storiti na zahtevo upravitelja. Pri shranjevanju elektronskih sporočil morajo uporabniki upoštevati načelo racionalnosti in se izogibati hranjenju dokumentov v multimedijskih podatkovnih formatih, ki zavzamejo veliko prostora (filmi, slike visoke resolucije, zvočni zapisi). V ta namen so v UE Ljutomer s strani sistemskega administratorja nastavljene kvote poštnih predalov (da se prepreči prezasedenost poštnega strežnika).

Page 15: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

15/18

Elektronska sporočila, ki so zasebne narave, morajo uporabniki brisati sproti.

77. člen

Nezaželeno pošto ima upravitelj pravico brisati. 2.16 Posebna pooblastila

78. člen

Za varno in nemoteno delovanje sistema elektronske pošte skrbijo upravitelji lokalnega sistema in upravitelji elektronskih poštnih strežnikov.

79. člen

Ob sumu storitve kaznivega dejanja z uporabo elektronskih sporočil, se opravijo postopki skladno z relevantno zakonodajo po odredbi pristojnega državnega organa. Pregledovanje elektronskih sporočil s strani upravljavcev elektronske pošte iz radovednosti ali po nalogu nepooblaščenih posameznikov ni dovoljeno. 2.17 Dostop do podatkov

80. člen

Vzpostavljeni morajo biti mehanizmi, ki preprečujejo nepooblaščeni dostop do podatkov, ter organizacijski in tehnični postopki, ki preprečujejo nepooblaščeno obdelavo podatkov, vključno s spreminjanjem oziroma uničenjem.

81. člen

Upravljavci informacijskih sistemov ne smejo imeti vpogleda v občutljive podatke, razen če imajo za to ustrezna pooblastila.

82. člen

Vse zbirke občutljivih podatkov (elektronske in papirne) morajo imeti vzpostavljene ustrezne dnevnike vpogledov, v katerih je zabeleženo: kdo, kdaj in zakaj je opravil vpogled, skladno z relevantno zakonodajo. Vodeni morajo biti tudi vsi servisni in vzdrževalni posegi na strežniku, bazi, aplikaciji ali storitvi.

83. člen

Dostop do zbirk občutljivih podatkov v elektronski obliki mora biti zaščiten z ustreznimi dostopnimi pravicami (npr. prijavno ime in geslo, certifikat in geslo, enkratno geslo, biometrija).

84. člen

Dostopne pravice morajo biti urejene tako, da omogočajo posamezniku dostop do najmanjšega možnega nabora podatkov, ki so potrebni za opravljanje nalog.

85. člen

Uporabniška imena, gesla, kartice za preverjanje dostopa, certifikati in drugi odobreni dostopni mehanizmi ter s tem pridobljene pravice dostopa do informacijskih sistemov in zbirk občutljivih podatkov so vedno izdani na eno osebo in so neprenosljivi. Posojanje ni dovoljeno.

Page 16: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

16/18

86. člen

Pri elektronskih zbirkah občutljivih podatkov morajo biti izpolnjeni organizacijsko-tehnični pogoji za vzdrževanje teh zbirk ter zagotovljeni postopki za varnostno shranjevanje in arhiviranje teh podatkov skladno z relevantno zakonodajo.

87. člen

Zaposleni morajo varovati občutljive podatke, s katerimi so se seznanili med trajanjem delovnega razmerja. Varovati jih morajo tudi po prenehanju delovnega razmerja. 3. Politika nabave opreme in storitev pri zunanjih izvajalcih To področje v največji meri ureja in zanj odgovarja Ministrstvo za pravosodje in javno upravo, UE Ljutomer sodeluje po potrebi, upošteva se pa točka 3 IVPJU. Pregled podpodročij:

Odgovorno

MPJU UE Ljutomer

3.1 Priprava javnega naročila Da

3.2 Varnostni elementi v pogodbi Da Odgovorna UE Ljutomer, če pogodbo sklepa samostojno

3.3 Izvajanje pogodbe Da Odgovorna UE Ljutomer, če pogodbo sklepa samostojno

3.4 Nadzor Da Odgovorna UE Ljutomer, če pogodbo sklepa samostojno

4. Politika razvoja in vzdrževanja informacijskih sistemov in

obvladovanja sprememb To področje v največji meri ureja in zanj odgovarja Ministrstvo za pravosodje in javno upravo, UE Ljutomer sodeluje po potrebi, upošteva se pa točka 4 IVPJU. Pregled podpodročij:

Odgovorno

MPJU UE Ljutomer

4.1 Načrtovanje Da

4.2 Razvojno okolje Da

4.3 Testno okolje Da

4.4 Izobraževalno okolje Da Odgovorna za računalniško učilnico in interna izobraževanja

4.5 Produkcija Da

4.6 Vsako izvedeno spremembo je treba evidentirati

Da

4.7 Pravice dostopa Da Izjemoma in le v omejenem obsegu (124. člen IVPJU)

Page 17: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

17/18

5. Politika upravljanja informacijskega sistema To področje v največji meri ureja in zanj odgovarja Ministrstvo za pravosodje in javno upravo, UE Ljutomer sodeluje po potrebi, upošteva se pa točka 5 IVPJU. Pregled podpodročij:

Odgovorno

MPJU UE Ljutomer

5.1 Upravljanje produkcijskega okolja

Da

5.2 Dokumentirani delovni postopki Da

5.3 Upravljanje sprememb v produkcijskem okolju in omrežju

Da

5.4 Ločevanje nalog Da

5.5 Zaščita pred zlonamerno in prenosno kodo

Da

5.6 Časovna uskladitev Da

5.7 Nadzor dostopa do omrežja Da

5.8 ločevanje v omrežjih Da

5.9 Upravljanje omrežnega usmerjanja

Da

5.10 Upravljanje incidentov pri varovanju informacij

Da

5.11 Dnevniški izpisi Da

5.12 Obdelava podatkov v dnevniških zapisih

Da

5.13 Ravnanje na podlagi ugoto-vitev iz dnevniških zapisov

Da Ni dovoljen priklop neodobrene omrežne opreme

5.14 Kriptografske rešitve Da

5.15 Raba virov Da

5.16 Oskrba z električno energijo Da Ključna oprema mora biti priključena na UPS

5.17 Klimatski pogoji Da Potrebni ustrezni klimatski pogoji v »server« sobi

5.18 Varnostne kopije Da Varnostne kopije se ne hranijo na ločeni lokaciji.

5.19 Upravljanje neprekinjenega poslovanja

Da

5.20 Vzdrževanje opreme Da Upoštevati člen 164 in 165 IVPJU

5.21 Vzdrževalna dela Da UE Ljutomer lahko sodeluje

Page 18: INFORMACIJSKO VARNOSTNO POLITIKO UPRAVNE · PDF fileInformacijska varnostna politika upravne enote je objavljena na elektronski oglasni deski UE Ljutomer ter v sistemu kakovosti. 13

18/18

6. Prehodne in končne določbe

88. člen

IVPUE začne veljati naslednji dan po objavi v sistemu kakovosti in na spletni strani UE Ljutomer. Št: 386-1/2012-1 Ljutomer, dne 02.07.2012

Mag. Darija Mohorič načelnica